Mailinglist Archive: opensuse-de (3763 mails)

< Previous Next >
Re: ldap suse 9.0 / samba 3.0
  • From: Bernhard Buehler <bbuehler@xxxxxxxxxxxxxx>
  • Date: Wed, 8 Sep 2004 14:25:31 +0200
  • Message-id: <200409081425.31592.bbuehler@xxxxxxxxxxxxxx>
Hallo Dieter

bitte siehe weiter unten..

Am Donnerstag, 2. September 2004 15.31 schrieb Dieter Kluenter:
> Hallo Bernhard,
>
> Bernhard Buehler <bbuehler@xxxxxxxxxxxxxx> writes:
> > Hallo Dieter
> >
> > Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter:
> >> Hallo,
> >>
> >> Bernhard Buehler <bbuehler@xxxxxxxxxxxxxx>(by way of Bernhard Buehler
> >
> > <bbuehler@xxxxxxxxxxxxxx>) writes:
> >> > hallo liste
>
> [...]
>
> >> Debugging Modus 256 macht bei Clients keinen Sinn, da nur
> >> Serverstatistik in diesem Modus ausgewertet wird. Im Debugging Modus
> >> 3 wird die Verbindung zwischen Client und Server protokolliert.
> >
> > ok, ich weiss nun dass meine datenstruktur io ist. ich wollte einfach nur
> > möglichst viel (bzw. alles) vom ldap auslesen. gibt es überhaupt eine
> > möglichkeit, so eine totale üebersicht über alles was zu ldap gehört
> > (konfiguration/struktur/module) auf einer uebersicht auszulesen (so alla
> > samba mit testparm).
>
> Leider noch nicht, aber es wird heftig daran gearbeitet. Das wird erst
> dann möglich sein, wenn die Konfiguration über ein Backend erfolgt,
> ähnlich wie jetzt Monitor. Ich denke, daß dies mit OpenLDAP 2.4
> möglich sein wird.
>
> > also jetzt wieder im ernst. ich wäre dir für weitere hilfe (auch
> > kommerziell) sehr dankbar.
>
> da kannst du gerne an mich herantreten :-)
>
> > mein ldap scheint gut zu laufen. ich habe jetzt folgende struktur:
>
> [...]
>
> > nun kommt mein nächstes problem. gemäss verschiedenen unterlagen die ich
> > in der letzten zeit gesehen habe, soll die umstellung der
> > benutzerverwaltung und authentifizierung unter suse (ich habe 9.0)
> > einfach und nur über yast möglich sein. nach ldap aktivierung in yast
> > erfolgte beim login keine reaktion. ldap user konnten sich auch nicht
> > anmelden. ich habe nun folgendes geändert:
>
> [ pam konfiguration ]
>
> > normale systemuser können sich weiter anmelden (zb. mit ssh). ldap-user
> > gehen nicht. in messages steht nur "PAM system error".
> >
> > weisst du hier weiter rat und wie ich vorgehen soll?
>
> Da muß ich jetzt etwas raten, aber als ersten Ansatzpunkt siehe dir
> mal /etc/ldap.conf an, das ist die Konfiguration für nsswitch und
> pam_ldap.
>
> Halt, zurück!
> SuSE hat ja /etc/ldap.conf und /etc/openldap/ldap.conf zu einer Datei
> /etc/openldap/ldap.conf, vereinigt, suche also mal dort nach den
> Konfigurationsparamtern für pam_ldap.
>
> -Dieter
>
> --
> Dieter Klünter | Systemberatung
> http://www.avci.de
> GPG Key ID:8C183C8622115328

die sache macht mir relativ viel mühe. ich habe jetzt testweise auf eine suse
9.1 gewechselt, da ja hier über yast alles automatisch eingerichtet werde. es
stimmt nicht ganz. als rekapitulation habe ich das problem, dass die
anmeldung mit ldap nicht geht. es ist so, dass der zugriff nach ldap offenbar
gestört ist. wenn ich in yast den ldap zugang konfiguriere und dafür das
cn=admin,dc=bbmlan,dc=ch verwende ist der zugriff auf die ldap-user io. es
kommen die richtige user (mit dem filter ldap-user).

greife ich in yast mit anonymus zu werden keine daten gefunden. könntest du
dir einmal die beiden logfile-einträge ansehen?

Hier aus yast mit anonymus:
Sep 8 10:54:27 ft10120 slapd[4122]: connection_get(11)
Sep 8 10:54:27 ft10120 slapd[4122]: SRCH "dc=bbmlan.ch,dc=ch" 2 0
Sep 8 10:54:27 ft10120 slapd[4122]: 0 0 0
Sep 8 10:54:27 ft10120 slapd[4122]: filter: (objectClass=posixGroup)
Sep 8 10:54:27 ft10120 slapd[4122]: attrs:
Sep 8 10:54:27 ft10120 slapd[4122]:
Sep 8 10:54:27 ft10120 slapd[4122]: send_ldap_result: err=10 matched=""
text=""
Sep 8 10:54:27 ft10120 slapd[4122]: connection_get(11)
Sep 8 10:54:27 ft10120 slapd[4122]: SRCH "dc=bbmlan.ch,dc=ch" 2 0
Sep 8 10:54:27 ft10120 slapd[4122]: 0 0 0
Sep 8 10:54:27 ft10120 slapd[4122]: filter: (objectClass=posixAccount)
Sep 8 10:54:27 ft10120 slapd[4122]: attrs:
Sep 8 10:54:27 ft10120 slapd[4122]:
Sep 8 10:54:27 ft10120 slapd[4122]: send_ldap_result: err=10 matched=""
text="

hier aus yast über den admin:
Sep 8 10:55:21 ft10120 slapd[4122]: connection_get(11)
Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11)
Sep 8 10:55:44 ft10120 slapd[4122]: ==> bdb_bind: dn:
cn=admin,dc=bbmlan,dc=ch
Sep 8 10:55:44 ft10120 slapd[4122]: send_ldap_result: err=0 matched=""
text=""
Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11)
Sep 8 10:55:44 ft10120 slapd[4122]: connection_input: conn=6 deferring
operation: binding
Sep 8 10:55:44 ft10120 slapd[4122]: SRCH "" 0 0
Sep 8 10:55:44 ft10120 slapd[4122]: 0 0 0
Sep 8 10:55:44 ft10120 slapd[4122]: filter: (objectClass=*)
Sep 8 10:55:44 ft10120 slapd[4122]: attrs:
Sep 8 10:55:44 ft10120 slapd[4122]: subschemasubentry
Sep 8 10:55:44 ft10120 slapd[4122]:
Sep 8 10:55:44 ft10120 slapd[4122]: send_ldap_result: err=0 matched=""
text=""
Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11)
Sep 8 10:55:44 ft10120 slapd[4122]: SRCH "cn=Subschema" 0 0
Sep 8 10:55:44 ft10120 slapd[4122]: 0 0 0
Sep 8 10:55:44 ft10120 slapd[4122]: filter: (objectClass=*)
Sep 8 10:55:44 ft10120 slapd[4122]: attrs:
Sep 8 10:55:44 ft10120 slapd[4122]: objectclasses
Sep 8 10:55:44 ft10120 slapd[4122]: attributetypes
Sep 8 10:55:44 ft10120 slapd[4122]:
Sep 8 10:55:44 ft10120 slapd[4122]: send_ldap_result: err=0 matched=""
text=""
Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11)
Sep 8 10:55:44 ft10120 slapd[4122]: SRCH "dc=bbmlan,dc=ch" 1 0
Sep 8 10:55:44 ft10120 slapd[4122]: 0 0 0
Sep 8 10:55:44 ft10120 slapd[4122]: filter:
(objectClass=suseModuleConfiguration)
Sep 8 10:55:44 ft10120 slapd[4122]: attrs:
Sep 8 10:55:44 ft10120 slapd[4122]:
Sep 8 10:55:44 ft10120 slapd[4122]: bdb_idl_fetch_key: %dc=bbmlan,dc=ch
Sep 8 10:55:44 ft10120 slapd[4122]: bdb_idl_fetch_key: [b49d1940]
Sep 8 10:55:44 ft10120 slapd[4122]: bdb_idl_fetch_key: [772d2b18]
Sep 8 10:55:44 ft10120 slapd[4122]: send_ldap_result: err=0 matched=""
text=""
Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11)
Sep 8 10:55:44 ft10120 slapd[4122]: SRCH
"cn=suseusertemplate,dc=bbmlan,dc=ch" 0 0
Sep 8 10:55:44 ft10120 slapd[4122]: 0 0 0
Sep 8 10:55:44 ft10120 slapd[4122]: filter: (objectClass=*)
Sep 8 10:55:44 ft10120 slapd[4122]: attrs:
Sep 8 10:55:44 ft10120 slapd[4122]:
Sep 8 10:55:44 ft10120 slapd[4122]: base_candidates: base:
"cn=suseusertemplate,dc=bbmlan,dc=ch" (0x0000000d)
Sep 8 10:55:44 ft10120 slapd[4122]: send_ldap_result: err=0 matched=""
text=""
Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11)
Sep 8 10:55:44 ft10120 slapd[4122]: SRCH
"cn=susegrouptemplate,dc=bbmlan,dc=ch" 0 0

in meiner datenstruktur habe ich (mit gq einwandfrei zum bearbeiten):

dc=bbmlan.dc=ch
ou=people
-- uid=testuser1
ou=groups
ou=machines
ou=domains
uid=testuser3
cn=suseusertemplate

ich kann offenbar bei der login-prozedur (anonym) weder auf testuser1 noch auf
testuser3 zugreifen. in der slapd.conf habe ich bei den rechten "access * by
* read".

leider habe ich nichts darüber gefunden, was und wie in yast der zugriff auf
ldap konfiguriert werden muss. oder on bestimmte strukturen vorausgesetzt
sind. da die daten aber über admin kommen, nehme ich an, dass der zugriff
anonym irgendwie anders geht.

es ist natürlich auch möglich, dass ich mich hier irgendwo verrant habe. ich
wäre dir dankbar, wenn du die sache wieder einmal ansehen könntest.

grüsse Bernhard

< Previous Next >
Follow Ups